Hoe je veilig en verantwoord kwetsbaarheden kunt melden

Ontdek je een zwakke plek in een ICT-systeem van PTH Groep? Meld die dan bij ons. Zo kunnen wij maatregelen treffen. Dit heet Coordinated Vulnerability Disclosure (voorheen Responsible Disclosure).

Bijdragen aan informatiebeveiliging

Het doel hiervan is om bij te dragen aan de veiligheid van ICT-systemen door kennis over kwetsbaarheden met de eigenaren te delen. Als eigenaar van die systemen kunnen wij dan kwetsbaarheden verhelpen vóórdat deze actief misbruikt kunnen worden door derden. Natuurlijk doen wij er alles aan om te zorgen dat onze systemen veilig zijn en dat de data niet misbruikt kan worden. Ondanks deze inspanningen erkennen we ook dat perfecte informatiebeveiliging bijna onmogelijk is. Kwetsbaarheden kunnen zich daarom, zonder dat wij daar zicht op hebben, voordoen in onze systemen. 

Laat het ons weten als je een zwakke plek in een van onze systemen hebt gevonden. Ook hier geldt dat wij goed willen samenwerken en onze systemen willen verbeteren om problemen op te lossen en onze processen, diensten en systemen weerbaarder te maken tegen privacy- en beveiligingsproblemen.

Melden van een beveiligingsprobleem

Wij vragen aan jou:

• Geef voldoende informatie om het probleem te reproduceren. Zo kunnen wij het probleem zo snel mogelijk (laten) oplossen. Vaak is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende. Bij ingewikkelder kwetsbaarheden kan meer informatie nodig zijn.
• Laat je contactgegevens (e-mailadres en/of telefoonnummer) achter zodat we contact met jou kunnen opnemen.
• Doe de melding zo snel mogelijk na ontdekking van de kwetsbaarheid. Mail daarvoor naar info@ pthgroep.nl
• Deel de informatie over het beveiligingsprobleem niet met anderen totdat het is opgelost.
• We willen graag leidend zijn bij publicaties over zaken die je in onze systemen of diensten aantreft en/of rapporteert. Wil je hierover publiceren of op een andere manier informatie hierover delen? Overleg dan vooraf met ons.
• Ga verantwoordelijk om met de kennis over het beveiligingsprobleem. Verricht geen handelingen die verder gaan dan wat nodig is om het beveiligingsprobleem aan te tonen, deel geen gegevens of details met andere partijen behalve PTH Groep, en wijzig of verwijder geen informatie.
• Voer geen aanvallen uit op de fysieke veiligheid met behulp van social engineering, ontzegging van diensten of spammen van applicaties van derden.

Beveiligingsproblemen behandelen

Heb je een melding gedaan dan behandelen wij deze als volgt:

• Als je bovenstaande richtlijnen hebt gevolgd, neemt PTH Groep geen juridische stappen wegens jouw melding van het betreffende probleem.
• Binnen drie werkdagen reageren we met een ontvangstbevestiging.
• Binnen één werkweek stellen we je op de hoogte van onze beoordeling en vervolgacties.
• Wij informeren jou als melder wanneer het probleem is opgelost.
• Wij lossen het beveiligingsprobleem zo snel mogelijk op. Daarbij streven we ernaar je op de hoogte te houden van de voortgang. Voor het oplossen van het probleem zijn wij vaak wel mede afhankelijk van toeleveranciers.
• PTH Groep bepaalt of en hoe over het gemelde probleem wordt bericht. Berichtgeving vindt pas plaats nadat het probleem is opgelost.
• Jouw melding is vertrouwelijk. We delen jouw persoonlijke gegevens niet zonder jouw toestemming met derden. Behalve als dit wettelijk of door een rechterlijke uitspraak verplicht is.